Einige Worte zur Europäischen Datenschutz-Grundverordnung (DS-GVO)

Und es erhob sich ein großes Geschrey und eine noch größere Unsicherheit. Deshalb möchte ich heute einmal zu diesem Thema einige aus meiner Sicht beruhigende, pragmatische Worte beisteuern. Zuerst: Viele von Ihnen kennen es bereits aus meinen E-Mails oder vom Telefon: Die DS-GVO zielt nicht auf Euch, liebe Plattformhändler (wenn schon, dann auf die Plattformen), sondern auf Adresshändler und die Werbewirtschaft. Es wird wohl zuvörderst auch kein Abmahnthema, sondern in erster Linie ein Bußgeldthema. Dabei dürfte es zunächst die „ganz Großen“ treffen und nicht die kleinen und mittleren Händler.

Was ist zu tun?

Zwei Dinge:

  1. Es muss ein unabhängiger Datenschutzbeauftragter bestellt werden (Art. 37 DS-GVO). Wenn weniger als 10 Personen unmittelbar mit den Daten befasst sind, muss kein Datenschutzbeauftragter bestellt werden. Diese Frage des Ob sollte im jeweiligen konkreten Einzelfall sorgfältig bedacht und überprüft werden. Wir empfehlen gleichwohl, den Kontakt zu einem Datenschutzbeauftragten aufzunehmen: Denn dieser kann dabei behilflich sein, die Dokumentationspflichten ordnungsgemäß zu erfüllen!
  2. Es wird eine neue Datenschutzerklärung geben (Art. 13 DS-GVO).

Vertragserfüllung als gesetzlicher Erlaubnistatbestand

Die DS-GVO überlagert bisheriges nationales Recht. Sie stellt aber – wie ihr Name es schon sagt – eine Art „Grundgesetz“ auf, dass in weiten Teilen ausfüllungs- und interpretationsbedürftig ist. Sie enthält jedoch nicht wirklich etwas „neues“. Von einigen, in der Öffentlichkeit bereits diskutierten Aspekten, wie dem „Recht auf Vergessen“ einmal abgesehen.

Es gibt sogar in der DS-GVO einen Punkt, den ich ausdrücklich begrüße. Bereits in der Vergangenheit habe ich nie so recht verstanden, wie es miteinander einhergehen soll, dass der Kunde einerseits sagt „Ich will das kaufen!“, andererseits aber der Verarbeitung seiner personenbezogenen Daten widersprechen können muss. Also, der zur Kaufabwicklung erforderlichen Daten. Der Verkäufer „erhebt“ ja diese Daten nicht von sich aus von einem ahnungslosen Mitbürger, der vielleicht noch gar nichts davon weiß und erst recht nicht gegen seinen Willen. Sondern der Käufer sagt: Mein Name ist, ich bestelle das, liefere es mir dorthin, schicke Bestellbestätigung an meine E-Mail, ich wünsche, mit PayPal zu bezahlen oder auf Rechnung. Die auf Kaufabschluss gerichtete Willenserklärung des Käufers beinhaltet ja notwendigerweise neben den von uns Juristen so genannten essentialia negotii (Kaufwesentliche Punkte: Kaufsache, Kaufpreis) auch weitere Daten. Wie die Angabe der Adresse, die die Übereigung und Übergabe (Lieferung) der Kaufsache im Versandwege erst möglich machen. Und so muss sich der Käufer entscheiden. Entweder er will kaufen. Dann muss er, damit dies Erfolg hat, auch seine Daten mitteilen. Oder der Käufer will nicht kaufen. Dann braucht er auch keine Daten mitzuteilen. Und der Verkäufer hat weder Grund noch Anlass, irgendwelche Daten gerade von diesem nicht kaufen Wollenden zu erheben. Dieses Paradoxum wurde nun vom Europäischen Verordnungsgeber erkannt und auch umgesetzt:

Die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, stellt einen gesetzlichen (!) Erlaubnistatbestand der Verarbeitung personenbezogener Daten dar (Art. 6 Abs. 1 lit. b DS-GVO). Dieser Erlaubnistatbestand steht neben der Einwilligung, zu dem dann auch der Widerruf gehört. Die Durchführung der „Einwilligung“ stellt also gar nicht mehr das ganz große Problem dar, weil die Erfüllung eines Kaufvertrages bereits selbst ein gesetzlicher Erlaubnistatbestand ist. Ich brauche also gar keine Einwilligung nachzuweisen, wenn ich den Erlaubnistatbestand „Vertragsverfüllung“ für mich in Anspruch nehmen kann. Auskunft muss ich natürlich trotzdem erteilen. Auf das Widerrufsrecht würde ich auch gleichwohl hinweisen.

Die gesetzlichen Pflichtinformationen sollten einmal daraufhin durchgesehen werden, ob sie denn nun auch den neuen Anforderungen der DS-GVO entsprechen. Und es muss auch eine neue Datenschutzerklärung erstellt werden. Für meine Mandanten und für BVOH-Mitglieder werde ich das erledigen. Das wird vermutlich ein längeres Konglomerat werden, auch wenn ich kein Freund von überlangen Rechtstexten bin. Ich halte es da mit dem Oberlandesgericht Dresden, das sagt „to much information ist no information“ (OLG Dresden, Urteil v. 17.01.107, 14 U 1462/16; LG Dresden, Urteil v. 09.05.2017, 42 HK O 9/17).

Auch die Plattformen werden tätig werden

Und es gibt noch einen weiteren Aspekt, wieso die DS-GVO gerade für Plattformhändler keine schlechte Nachricht ist. Mich wundert nur, warum darauf noch keiner gekommen ist. Verarbeitende Stelle in Bezug auf den Kauf, der über eine Plattform abgewickelt wird, ist die Plattform. Weil diese die Daten verarbeitet, das ist ja logisch. Die Plattformen wissen das auch. Ich kann hier jedenfalls im Hinblick auf eBay sprechen, dass man dort diese Herausforderung sehr ernst nimmt und insbesondere auch die entsprechenden Schritte umsetzen wird. Zu Amazon habe ich leider keine Informationen. Aber ich kann mir nicht vorstellen, dass ein so wichtiges Thema wie DS-GVO an Amazon vorbeigegangen sein sollte. Zumal vermutet werden kann, dass dort durch einige Entwicklungen der jüngeren Zeit eine Sensibilisierung für bestimmte Themen eingetreten sein könnte. Soweit es also die Plattformen anbelangt, werden diese sich um die Umsetzung der Vorgaben der DS-GVO kümmern (müssen). So gesehen, ist der Plattformhändler also wirklich etwas privilegiert: Er kann den gesetzlichen Erlaubnistatbestand „Vertragserfüllung“ für sich in Anspruch nehmen (Art. 6 Abs. 1 lit. b DS-GVO). Und die Plattform wird sich um die Umsetzung der ja nicht ganz neuen Vorgaben der DS-GVO kümmern. Der Betreiber eines eigenen Webshops ist natürlich selbst in der Pflicht. Und: Auch für die Plattformhändler gibt es einen Bereich der Datenverarbeitung vor, neben und hinter der Plattform, für die nicht die Plattform, sondern der Händler verantwortlich zeichnen dürfte. Ganz Entwarnung kann also noch nicht gegeben werden. Aber ein gutes, überwiegendes Stück weit.

Die nächsten Schritte

Also, was werden die nächsten Schritte sein? Die Bestellung eines unabhängigen Datenschutzbeauftragten, Art. 37 DS-GVO. Dieser kann unter bestimmten Voraussetzungen ein eigener Beschäftigter sein. Nach meinen bisherigen Erfahrungen und meiner Meinung nach sollte man aber einen externen Datenschutzbeauftragten bevorzugen, denn ein Datenschutzbeauftragter ist z.B. weisungsberechtigt in bestimmten Bereichen. Ich empfehle natürlich die Lektüre der Verordnung selbst. Das Lesen eines kleinen Ratgebers aus berufener Hand könnte ein guter Einstieg dafür sein. Mit dem Besuch kostenintensiver Veranstaltungen bin ich selbst jedenfalls hier etwas zurückhaltend. Es wird im Moment damit auch wirklich viel Geld gemacht. Auch deshalb gibt es ein so großes Geschrey.

Stichtag und Link zur DS-GVO

Stichtag wird der 25. Mai 2018 sein.

Zur DS-GVO geht es >>>hier.

Eine etwas anwenderfreundlichere Fassung finden Sie >>>hier.


Mit den allerbesten Grüßen

Ihr Rechtsanwalt Wolfgang Wentzel

http://www.onlinehandelsrecht.com


Keine Rechtsberatung außerhalb von im Einzelfall übernommenem Mandat!

 

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

w

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.